다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 UDP갱스터 백도어

UDP갱스터 백도어

멀웨어, 지능형 지속 위협(APT), 백도어년에 Mezo 년까지
번역 :

이란 연계 조직인 머디워터(MuddyWater)의 소행으로 추정되는 위협 캠페인에서 UDP갱스터(UDPGangster)라는 새로운 백도어가 발견되었습니다. TCP 기반 통신에 의존하는 기존 악성코드와 달리, 이 도구는 사용자 데이터그램 프로토콜(UDP)을 명령 및 제어(C&C) 채널로 사용하여 기존 보안 솔루션으로는 트래픽을 탐지하기 더욱 어렵습니다. 백도어가 활성화되면 감염된 시스템에 대한 완전한 원격 조작을 가능하게 하여 명령 실행, 파일 유출, 그리고 2차 악성코드 배포를 가능하게 합니다.

지역 타겟팅 및 간첩 동기

연구원들은 피해자들이 주로 터키, 이스라엘, 아제르바이잔에서 확인되었다고 보고했습니다. 이 작전의 성격과 지리적 집중도를 고려할 때, 민감한 환경 내에서 정보를 수집하고 원격 거점을 확보하기 위한 표적 간첩 활동임을 시사합니다.

피싱 미끼 및 악성 문서

공격자들은 네트워크 침투를 위해 스피어피싱에 크게 의존합니다. 북키프로스 터키 공화국 외무부를 사칭한 이메일이 의심하지 않는 수신자들에게 발송되었는데, '대통령 선거와 결과'라는 제목의 온라인 세미나에 초대하는 내용이 담겨 있었습니다.

이 이메일에는 동일한 악성 문서 두 개가 첨부되어 있었습니다. seminer.zip이라는 이름의 ZIP 압축 파일과 seminer.doc라는 이름의 Word 파일입니다. 이 문서를 열면 사용자에게 매크로를 활성화하라는 메시지가 표시되어 내장된 페이로드가 자동으로 실행됩니다. 악성 활동을 감추기 위해 이 매크로는 이스라엘 통신사 베제크(Bezeq)의 히브리어 가짜 이미지를 표시하는데, 이는 2025년 11월 초에 예정된 서비스 중단을 설명하는 것으로 추정됩니다.

매크로 실행 및 페이로드 전달

매크로가 활성화되면 드로퍼는 Document_Open() 이벤트를 활용하여 숨겨진 양식 필드에 저장된 Base64 데이터를 자동으로 디코딩합니다. 결과 콘텐츠는 다음 위치에 기록됩니다.

C:\Users\Public\ui.txt

그런 다음 이 파일은 Windows API CreateProcessA를 통해 실행되어 UDPGangster 백도어를 시작합니다.

스텔스 설계: 지속성 및 분석 방지 전술

UDPGangster는 Windows 레지스트리 지속성을 통해 호스트에서의 존재를 보호합니다. 또한 가상 환경, 샌드박스 및 포렌식 조사를 방해하기 위한 다양한 분석 방지 기술을 통합합니다. 여기에는 다음이 포함됩니다.

  • 환경 및 가상화 검사
  • 활성 디버깅 테스트
  • 가상 머신의 징후를 파악하기 위한 CPU 특성 검사
  • RAM이 2GB 미만인 시스템 식별
  • VM 공급업체를 감지하기 위한 MAC 주소 접두사 검증
  • 장치가 기본 Windows 작업 그룹에 속하는지 확인
  • VBoxService.exe, VBoxTray.exe, vmware.exe, vmtoolsd.exe와 같은 프로세스 스캔
  • VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE 및 Xen을 포함한 가상화 식별자에 대한 레지스트리 항목 검토
  • 알려진 샌드박싱 또는 디버깅 유틸리티 검색
  • 분석 환경 내에서 실행이 발생하는지 확인

    • 이러한 검사가 완료되어야만 맬웨어는 시스템 데이터를 유출하고 157.20.182[.]75의 UDP 포트 1269를 통해 외부 서버와 통신합니다. 이 채널을 통해 cmd.exe를 통해 셸 명령을 실행하고, 파일을 전송하고, 구성 세부 정보를 업데이트하고, 후속 페이로드를 배포할 수 있습니다.

    운영 역량 및 데이터 도난

    검증 후, 맬웨어는 시스템 메타데이터를 수집하여 원격 C2 서버로 전송합니다. UDP 기반 통신을 통해 공격자는 감염된 호스트와 실시간으로 상호 작용하여 명령 실행, 백도어 업그레이드, 또는 필요에 따라 추가 악성 모듈 설치 등을 지시할 수 있습니다. 이러한 구조는 정찰 및 장기 스파이 활동을 모두 지원합니다.

    완화 및 인식

    감염 경로가 매크로 활성화 피싱 문서에 달려 있기 때문에 사용자 인식은 여전히 중요한 방어 수단입니다. 의심스럽거나 원치 않는 첨부 파일, 특히 매크로 활성화를 촉구하는 첨부 파일은 매우 신중하게 처리해야 합니다. 조직은 매크로 제한을 시행하고, 행동 모니터링 솔루션을 구축하고, 사용자에게 표적 피싱 전술을 인식하도록 교육해야 합니다.

    권장 방어 조치

    • 조직 전체에서 매크로를 제한하거나 비활성화합니다.
    • 매크로 기반 드로퍼를 감지할 수 있는 엔드포인트 보호 기능을 배포합니다.
    • 비정상적인 아웃바운드 UDP 트래픽을 모니터링합니다.
    • 알려지지 않았거나 의심스러운 포트에 대한 통신 시도를 표시합니다.
    • 직원들에게 특정 대상을 겨냥한 피싱 지표에 대해 교육합니다.

    MuddyWater의 UDPGangster 캠페인은 기만적인 미끼, 은밀한 매크로 실행, 그리고 고도화된 회피 기법을 결합함으로써 은밀한 접근과 지역 정보 수집에 대한 새로운 강조점을 보여줍니다. 이러한 위협이 발판을 마련하는 것을 막기 위해서는 문서 기반 공격에 대한 경계를 늦추지 않는 것이 필수적입니다.

    트렌드

    Lionmerks.com

    불량 웹사이트, 애드웨어, 브라우저 하이재커
    인터넷을 탐색하는 동안 항상 주의를 기울이는 것은 필수적입니다. 특히 사기성 웹사이트가 사용자를 속이려는 시도를 끊임없이 진화시키고 있기 때문입니다. 합법적인 확인, 알림 또는 시스템 메시지를 모방하도록 설계된 페이지는 방문자를 보안 및 개인정보 보호 위험에 노출시키는 권한 또는 데이터를 추출하는 것을 목표로 하는 경우가 많습니다....

    Trustedspotsearch.com

    불량 웹사이트, 애드웨어, 잠재적으로 원하지 않는 프로그램
    안전하고 신뢰할 수 있는 브라우징 환경을 유지하려면 시스템을 침입적이고 신뢰할 수 없는 소프트웨어로부터 보호하는 것이 필수적입니다. PUP(잠재적으로 원치 않는 프로그램)는 유용한 도구처럼 위장하는 경우가 많지만, 브라우저 설정을 은밀하게 변경하고, 사용자를 개인 정보 보호 위험에 노출시키며, 기기 성능을 저하시킬 수 있습니다....

    Trustedfiltersearch.com

    불량 웹사이트, 브라우저 하이재커, 잠재적으로 원하지 않는 프로그램
    침입적이고 신뢰할 수 없는 소프트웨어로부터 컴퓨터를 보호하는 것은 안전한 브라우징 환경을 유지하는 데 필수적입니다. PUP는 언뜻 보기에 무해해 보일 수 있지만, 이러한 PUP의 방해 행위는 종종 개인정보 침해, 원치 않는 시스템 변경, 그리고 추가적인 온라인 위험 노출로 이어집니다. 이러한 위협의 최근 사례로는 Trusted Filter라는 침입형...

    가장 많이 본

    '프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

    문제
    48,884
    프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

    Discord가 회색 화면에 멈춤

    문제
    38,719
    때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

    화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

    문제
    36,693
    처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
    로드 중...